L’essentiel : La CNIL a sanctionné deux médecins pour négligence dans la sécurité des données médicales de leurs patients, exposant des centaines d’images sur Internet pendant près de cinq ans. Les médecins ont reconnu des erreurs de configuration de leur box Internet et de leur logiciel d’imagerie. La violation de l’article 32 du RGPD, qui impose des mesures de sécurité renforcées pour les données de santé, a été mise en évidence. La CNIL souligne l’importance du chiffrement des données et de la protection des réseaux internes pour éviter toute compromission des informations sensibles des patients.

À la suite de contrôles en ligne, la CNIL a sanctionné deux médecins libéraux (3 000 et 6 000 euros) pour négligence dans la sécurité des données d’imageries médicales de leurs patients (IRM, radios, scanners, etc…) données suivies notamment des nom, prénoms, date de naissance et date de consultation des patients.  Des centaines d’images hébergées sur les serveurs des deux médecins libéraux étaient ainsi librement accessibles sur Internet depuis près de 5 années.

Obligation des sécuriser les réseaux locaux

Paramétrer son logiciel d’imagerie pour pouvoir transférer automatiquement des images issues de son équipement de radiographie vers la base de données de son logiciel d’imagerie hébergée dans son cabinet et accéder à distance aux images, présente un sérieux risque pour la protection des données.  A minima, un bon paramétrage des outils, le chiffrement des disques durs de démarrage et l’installation de certificats SSL s’imposent.

La CNIL a pointé la violation de deux principes élémentaires en matière de sécurité informatique, à savoir la protection du réseau informatique interne par la limitation des flux réseau au strict nécessaire et le chiffrement des données à caractère personnel.

Lors des auditions de contrôle, les médecins ont reconnu que les violations de données avaient pour origine un mauvais choix de configuration de leur box Internet ainsi qu’un mauvais paramétrage de leur logiciel d’imagerie médicale. Les investigations menées ont également permis d’établir que les images médicales conservées sur leurs serveurs n’étaient pas systématiquement chiffrées.

Violation de l’article 32 du RGPD

La gravité du manquement à l’article 32 du RGPD était d’autant plus caractérisée qu’il s’agissait de données de santé et que cette catégorie particulière de données à caractère personnel doit bénéficier de mesures de sécurité renforcées.

Pour rappel, aux termes de l’article 32 du RGPD, le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Les a) et b) de ce même paragraphe 1 prévoient qu’en fonction notamment de la portée, du contexte et des finalités du traitement ainsi que des risques pour les personnes concernées, le responsable de traitement met en œuvre le chiffrement des données à caractère personnel et des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement.

Chiffrement des données à caractère personnel

La protection du réseau informatique interne et le chiffrement des données à caractère personnel font partie des exigences élémentaires en matière de sécurité informatique, qui incombent à tout responsable de traitement.

A cet égard, dans le guide La sécurité des données personnelles , qui offre un éclairage utile aux responsables de traitement quant aux mesures à mettre en œuvre afin de garantir la sécurité de leur traitement, la Commission recommande d’autoriser uniquement les fonctions réseau nécessaires aux traitements mis en place.

De même, le Guide pratique pour les médecins, publié par la CNIL en concertation avec le Conseil national de l’ordre des médecins, invite les médecins à limiter le plus possible la connexion d’appareils non professionnels sur le réseau au sein duquel sont traitées les données des patients, ainsi qu’à recourir à des moyens d’authentification forte pour accéder à ce réseau.

En l’absence de chiffrement, les données médicales contenues dans le disque dur de l’ordinateur d’un médecin sont lisibles en clair par toute personne prenant possession de cet appareil (par exemple, à la suite de sa perte ou de son vol) ou par toute personne s’introduisant de manière indue sur le réseau auquel cet ordinateur est raccordé.

Dans son guide «La sécurité des données personnelles», la CNIL recommande de prévoir des moyens de chiffrement des postes nomades et supports de stockage mobiles (ordinateur portable, clés USB, disque dur externes, CD-R, DVD-RW, etc.), par exemple via le chiffrement du disque dur dans sa totalité lorsque le système d’exploitation le propose, le chiffrement fichier par fichier ou la création de conteneurs (fichier susceptible de contenir plusieurs fichiers) chiffrés. De même, le Guide pratique pour les médecins invite les médecins à procéder au chiffrement des données de leurs patients avec un logiciel adapté.

De façon plus générale, les données médicales appellent une vigilance toute particulière afin d’éviter toute violation de données.

Obligation de notifier la CNIL

Le responsable de traitement doit également, en toute circonstance, respecter l’exigence de notification prévue à l’article 33 du RGDP à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. La circonstance que la violation de données avait été portée à la connaissance d’un médecin par le service des contrôles de la CNIL ne le décharge pas de cette obligation.

En effet, consécutivement au contrôle, le responsable de traitement peut avoir connaissance d’éléments complémentaires relatifs à la violation de données qui méritent d’être communiqués aux services compétents de la CNIL, lesquels ont notamment pour mission de centraliser les différentes violations de données et d’en assurer le suivi afin de prévenir la compromission de données à caractère personnel. Un téléservice est disponible sur le site de la CNIL pour effectuer ces notifications.

Q/R juridiques soulevées :

Quelles sanctions ont été imposées aux médecins par la CNIL ?

La CNIL a sanctionné deux médecins libéraux pour négligence dans la sécurité des données d’imageries médicales de leurs patients. Les amendes s’élèvent à 3 000 euros pour l’un et 6 000 euros pour l’autre. Ces sanctions ont été prononcées suite à des contrôles en ligne qui ont révélé que des centaines d’images médicales, comprenant des IRM, radios et scanners, étaient accessibles librement sur Internet pendant près de cinq ans. Les données concernées incluaient des informations sensibles telles que les noms, prénoms, dates de naissance et dates de consultation des patients, ce qui a aggravé la situation.

Quelles sont les obligations en matière de sécurité des données pour les médecins ?

Les médecins ont l’obligation de sécuriser leurs réseaux locaux et de protéger les données à caractère personnel de leurs patients. Cela inclut le paramétrage adéquat de leurs logiciels d’imagerie et la configuration de leur box Internet. La CNIL a souligné que les médecins avaient violé deux principes fondamentaux de la sécurité informatique : la protection du réseau interne et le chiffrement des données personnelles. Un bon paramétrage des outils, le chiffrement des disques durs et l’installation de certificats SSL sont des mesures essentielles pour garantir la sécurité des données.

En quoi consiste la violation de l’article 32 du RGPD ?

L’article 32 du RGPD impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Dans le cas des médecins sanctionnés, la gravité du manquement était accentuée par le fait qu’il s’agissait de données de santé, qui nécessitent des mesures de sécurité renforcées. Les médecins n’ont pas respecté les exigences de chiffrement des données et de protection des systèmes, ce qui a conduit à une violation des droits des patients.

Pourquoi le chiffrement des données est-il crucial ?

Le chiffrement des données à caractère personnel est une exigence fondamentale en matière de sécurité informatique. Il permet de protéger les informations sensibles contre les accès non autorisés. Sans chiffrement, les données médicales stockées sur un ordinateur peuvent être facilement accessibles en cas de perte ou de vol de l’appareil. Cela expose les patients à des risques de violation de leur vie privée. La CNIL recommande des moyens de chiffrement adaptés, notamment pour les postes nomades et les supports de stockage mobiles, afin de garantir la sécurité des données des patients.

Quelles sont les obligations de notification en cas de violation de données ?

En cas de violation de données, le responsable de traitement doit notifier la CNIL conformément à l’article 33 du RGPD, sauf si la violation ne présente pas de risque pour les droits et libertés des personnes concernées. La notification doit être effectuée même si la violation a été portée à la connaissance d’un médecin par la CNIL, car des éléments complémentaires peuvent émerger lors des contrôles. La CNIL a mis en place un téléservice pour faciliter ces notifications, permettant ainsi un suivi efficace des violations de données à caractère personnel.